Тебе вчили трьом правилам: не відкривати підозрілі листи, не нажимати на дивні посилання і нікому не казати пароль. Вітаємо, ти молодець, але є нюанс.
Бо сучасним шахраям твій пароль уже не потрібен. Вони придумали, як заходити у твої акаунти без нього — і часто через справжні сайти Microsoft чи Google.
Розбираємося, як змінився фішинг, що таке QR-фішинг, ClickFix і Device Code phishing, і чому як захистити свої акаунти.
Як змінився фішинг: чому старі правила більше не рятують
Сучасний фішинг — це вже не незнайомець, який ламає замок. Це чоловік у формі комунальника, який дзвонить у домофон, каже «перевірка лічильників» — і ти добровільно відчиняєш йому двері.
Колись шахраям достатньо було викрасти пароль, але потім з’явилися двофакторна автентифікація, менеджери паролів і розумні поштові фільтри — і старі методи перестали працювати. Тож вони змінили тактику: замість того щоб обдурювати компуктер, вони обдурюють людину.
Бо комп’ютер не часто помиляється, а людина після третьої дедлайн-ночі з літрами кохве — ще й як.
Сучасний фішинговий лист не має вигляд як «Вітаємо, ви виграли автомобіль». Він має вигляд як звичайний робочий лист від IT-відділу, написаний бездоганною українською, з логотипом компанії і без жодної помилки. Далі 3 актуальні схеми фішингу, які підсвідчує Мінфін.
QR-фішинг (квішинг): коли телефон стає слабкою ланкою
Ми скануємо QR-коди в меню ресторанів, на паркуванні, на квитках — і думалка записала їх у категорію «безпечно». Цим і користуються шахраї.
Схема виглядає так: тобі на пошту падає лист нібито від IT-відділу — «через оновлення політик безпеки відскануй QR-код для повторної авторизації Microsoft 365». Ти дістаєш телефон, скануєш, бачиш сторінку, яка виглядає точнісінько як справжня, вводиш дані — і через кілька секунд твій акаунт уже не твій.
АЛЕ тут важливий момент. Чому саме QR, а не звичайне посилання? Бо захисні системи пошти добре аналізують лінки, а от зображення з вбудованим QR-кодом — значно гірше.
ClickFix: атака, де ти сам собі хакер
Якщо квішинг використовує довіру до смартфона, то ClickFix — довіру до інструкцій. Пам’ятаєш, як у школі вчителька казала «роби за зразком», і ми слухняно робили? Тут схоже.
Виглядає це так: відкриваєш документ або сайт, а замість контенту — повідомлення «для правильного відображення виконай кілька дій». Далі детальна покрокова інструкція: натисни Windows + R, встав оцю команду, підтверди. Все логічно, все схоже на звичайний фікс технічної проблеми. От тільки ти власноруч запускаєш шкідливий код на своєму комп’ютері.
Device Code phishing: справжній сайт, справжня двофакторка — і все одно тебе зламали
Ця техніка вважається однією з найнебезпечніших.
У цій схемі ти заходиш на справжній сайт Microsoft. Не фейковий, не схожий, а той самий, з правильною адресою і замочком у браузері. Шахрай (наприклад, під виглядом колеги, який кличе тебе на дзвінок у Teams) переконує тебе ввести спеціальний код підтвердження входу. Ти вводиш, проходиш звичну двофакторну автентифікацію — все виглядає максимально легітимно. От тільки токен доступу після цього отримуєш не ти, а зловмисник.
Рандомний факт: Microsoft 2025 описала хакерське угруповання Storm-2372, яке саме цією схемою атакувало уряди та компанії по всьому світу, маскуючи атаки під запрошення у Teams, WhatsApp і Signal.
До чого тут ШІ (спойлер: він працює на обидві сторони)
Ще кілька років тому фішинговий лист можна було впізнати за граматичними помилками. Генеративний ШІ цю ознаку прибрав повністю: тепер лист українською без жодної помилки, зі стилем твого керівника і згадкою реального проєкту пишеться за дві хвилини.
Той самий ШІ, яким ти генеруєш віжуали і пишеш контент-плани, для шахраїв став персональним асистентом: він шукає інформацію про компанію, вивчає стиль спілкування конкретних людей і збирає переконливі повідомлення масово. Тому кількість успішних атак росте навіть попри те, що захист теж розумнішає.
Чим фішинг стосується тебе?
Тут багато хто думає: «Та кому я потрібен, я не банк і не міністерство». Це одна з найнебезпечніших ілюзій, і ось чому: сучасні фішингові кампанії автоматизовані й масові. Ніхто не сидить і не обирає жертву — розсилаються тисячі листів і QR-кодів, а далі шахраї просто чекають, поки хтось один натисне потрібну кнопку.
А тепер порахуй, до чого ти маєш доступ: бізнес-сторінки клієнтів, рекламні кабінети з прив’язаними картками, поштові скриньки, спільні диски з брендбуками і договорами, робочі чати.
Один твій зламаний акаунт — і в шахрая доступ не до однієї людини, а до цілого великої кількості бізнесів.
Як захиститися від сучасного фішингу: що реально працює
Поганих новин вистачило, тепер хороші: захиститися можна, і це не потребує диплома з кібербезпеки.
- QR-коди з листів — це посилання. Дотримуйся усіх правил роботи з посиланнями: не сканувати з робочих листів «від IT-відділу», не вводити дані на сторінках, які відкрилися після сканування, поки не перевіриш адресу.
- Не виконуй команди з сайтів і документів.
- Код підтвердження входу вводиш тільки тоді, коли реально заходиш.
- Перевіряй активні сесії у своїх акаунтах (Google, Microsoft, Meta) хоча б раз на місяць. Після будь-якої підозри — не просто зміни пароль, а розлогінь усі пристрої.
Висновок
Фішинг більше не краде паролі — він краде довіру: до QR-кодів, до інструкцій, до справжніх сайтів і навіть до твоєї власної двофакторки.
Тому єдине правило, яке не застаріє: будь-який неочікуваний запит на авторизацію — це привід зупинитися і все ретельно перевірити.
